CODERED.A - 2001/7/31

新種ウイルス警報「CODERED.A」ウイルス

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、マイクロソフト株式会社Microsoft Internet Information Server(以下:IISサーバ)のセキュリティホールを狙いウイルスを拡散するワーム活動やWebの改ざん、特定サイトへのDos攻撃を行う「CODERED.A」(コードレッド)(別名:「TROJ_BADY.A」)ウイルスに対しての新種ウイルス警報をお知らせします。 現在はワーム活動を休止中ですが、8月1日からワーム活動を再開しますのでシステム管理者は今すぐ、IISサーバを再起動しマイクロソフト株式会社から提供されている対応パッチを適用してください。
また、ウイルスプログラムファイルとして侵入している可能性もありますので、ファイルサーバ用のウイルス対策ソフトでウイルスチェックを行って下さい。トレンドマイクロでは、既にパターンファイル917以降で対応しています。また無償の検索ツールを現在開発中です。

「CODERED.A」ウイルス概要

「CODERED.A」ウイルスは、7月19日付けで米国のセキュリティ団体であるCERTが警告を出した新種のトロイの木馬型ウイルスです。「CODERED.A」は、Windows NT Server4.0 / Windows 2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用し、インターネットを介し非常に早いスピードでウイルスを拡散するワーム活動を行います。感染活動のひとつとして、Webの改ざんを行いますが英語環境でのみ活動するため、日本語環境ではさらに感染に気付きにくく、感染を拡大するひとつの要因となっています。
トレンドマイクロでは7月31日午後3時現在、国内からの感染報告を受けていませんが、明日8月1日からワーム活動が再開することをうけ、今後日本でも感染が拡大する可能性があるため注意が必要です。

■ 感染対象先
Windows NT Server 4.0 およびWindows 2000 のIndexing Service のWebサーバであるIISサーバ

■ 侵入経路
インターネットを介してウイルス感染を拡大します。ランダムなIPアドレスを作成し、IISサーバのセキュリティホールを狙ったHTTPアクセスを試みることにより、セキュリティホールを発見します。発見すると、ウイルスコードを送りこみメモリ上で自動的に感染活動を開始します。ファイルとして存在するわけではないため、この段階ではウイルスを検出できません。

■ 侵入を防ぐためには
IISサーバのせキュリティホ-ルに対応パッチを適用させることにより侵入を防ぐことが可能です。
■参照URL(マイクロソフト株式会社)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

■ 感染活動

  1. ワーム活動 インターネットを介しセキュリティホールを持つその他のIISサーバを探し出し 感染を広げるワーム活動を行います。
  2. Webの改ざん

    Webの改ざんに見せかけた活動を行います(感染したサーバ内の全Webページの内容を約10時間差替えます)。※英語環境でのみ活動します。
     
    **ワームに改ざんされたWeb表示イメージ**

    Welcome to http://www.worm.com !

    Hacked By Chinese

       
  3. マシンのシステム設定日付にそって活動を行います。
[1] 1日~19日の場合
インターネットを介してワーム活動を行います。
[2] 20日~28日の場合
特定サイトに対しDos攻撃を行います(約27時間データの送信を続けます。この活動が多数のマシンから行われることにより送信先のサーバは最悪の場合ダウンする可能性があります。)
[3] 29日~31日の場合
活動はありません。

■ ウイルス情報はこちらから
http://www.trendmicro.co.jp/vinfo/

■ 注意事項

  1.  システム管理者はウイルス感染チェックを行ってください。
  2.  このウイルスはIISサーバのセキュリティホールを狙ったものです。セキュリティホールに対するパッチを適切にあてることによりウイルスの感染から守ることができます。 「CODERED」が利用するセキュリティホールの詳細およびその対策については、IISサーバ販売元「マイクロソフト株式会社」のWebサイトをご参 照ください。
    ※CodeRed" IIS ワームに関する情報
    http://www.microsoft.com/japan/technet/security/CodeRed.asp
  3.  無償提供予定の検索ツールに関して
メモリ上で活動するウイルスを検出できるものです。検出した場合は、IISサーバを再起動し、パッチを適用してください。

■ ソリューション
[1] IISサーバを再起動し、マイクロソフト株式会社から提供されているパッチを適用下さい。
再起動することによりウイルス活動のプロセスが終了するため、感染していた場合でもプロセス進行を食い止めることができます。
[2] ファイルとして侵入している可能性もありますので、ファイルサーバ用ウイルス対策製品でのウイルスチェックも同時に行って下さい。
トレンドマイクロ社ファイルサーバ用ウイルス対策製品「ServerProtect」をお使いのお客様は、最新のパターンファイルおよび、最新の検索エンジンでウイルスチェックを行ってください。(トレンドマイクロでは、パターンファイル917以降、検索エンジン5.170以上で対応しています。)

■ ウイルス情報

ウイルス名CODERED.C
別 名CODERED II,CODERED.v3,CODERED,TROJ_CODERED.C
ウイルス種類トロイの木馬型ワーム
言 語英語
プラットフォームWindows 2000、Windows NT(中国語版、日本語版 のみ)
暗号化なし
対応パターン#923
破壊活動 [1]ワーム活動
破壊活動 [2]ウイルスドロッパー活動

※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名及び製品名は、各社の商標又は登録商標です。

今すぐウイルスチェック&駆除

セキュリティ用語を調べる

情報提供サービス

ホームページ以外でも、情報を提供しています。各種情報提供サービスもご利用ください。

メールマガジン

セキュリティの学習

『インターネット・セキュリティ・ナレッジ』は、インターネットセキュリティ全般の知識を幅広く身につけていただくためのポータルサイトです。

インターネット・セキュリティ・ナレッジ